Die elektronische Patientenakte informiert über zentrale Gesundheitsdaten; he, she und they können damit ihre Befunde zentral verwalten und Behandlern schnell Zugänge gewähren. Wichtig: Die Nutzung ist freiwillig, Chance: bessere Behandlungskoordination und schneller Zugriff auf Dokumente, aber auch Risiko: mögliche Sicherheitslücken trotz hoher BSI-Standards. Der Text erläutert Funktionen, Rechte, Datenschutzmaßnahmen und praktische Schritte zur sicheren Nutzung.

Was ist die elektronische Patientenakte (ePA)?

Definition und Zweck der ePA

Die ePA fungiert als digitaler, lebenslanger Aktenordner für Gesundheitsdaten und bündelt Befunde, Arztbriefe, Medikationspläne sowie Impfstatus; Ärztinnen, Krankenhäuser und Therapeut:innen tragen Daten ein, und Versicherte können selbst Dokumente hochladen. Über standardisierte Schnittstellen wie HL7 FHIR und Vorgaben der Gematik verbessert die ePA die Versorgungskoordination, reduziert Doppeluntersuchungen und ermöglicht schnelle Einsicht in Notfällen. Die Nutzung bleibt freiwillig und Patient:innen behalten granularen Zugriffsschutz.

Unterschiede zur traditionellen Patientenakte

Digital gespeicherte ePA erlaubt standortübergreifenden, gleichzeitigen Zugriff für mehrere Behandelnde, im Gegensatz zur papierbasierten Akte, die physisch gebunden und schwer durchsuchbar ist. Elektronische Formate bieten strukturierte Laborwerte und maschinenlesbare Medikationsdaten, beschleunigen Abläufe und unterstützen Telemedizin. Dem gegenüber steht ein erhöhtes IT‑Risiko: Cyberangriffe und Schwachstellen erfordern fortlaufende Schutzmaßnahmen und Kontrollen.

Konkrete Unterschiede zeigen sich in Praxisabläufen: Nach dem Einlesen der Gesundheitskarte erhalten Behandelnde meist 90 Tage Zugriff; Patient:innen können einzelne Dokumente verbergen, Zugriffe widerrufen oder eine Vertretung benennen. Ab 2025 ist zweimal innerhalb von 24 Monaten die Digitalisierung von bis zu 10 älteren Dokumenten durch die Krankenkasse möglich, während Papierakten lokal verbleiben und keine automatisierte Vernetzung bieten.

Weitere Informationen erhalten Sie bei bei unserer kostenlosen Erstberatung.

Implementierung der ePA

Startdatum und Einführungsprozess

Am 29. April begann die bundesweite Einführung der ePA nach Modellregionen; Praxen, Apotheken und Krankenhäuser erhalten gestaffelt die nötigen Software-Updates, sodass spätestens ab Oktober die Nutzung flächendeckend und verpflichtend sein soll. Einrichtungen müssen ihre Praxis-EDV anpassen, Telematik-Anbindungen installieren und interne Abläufe neu organisieren; viele Teams planen dafür mehrere Tage bis Wochen für Installation, Tests und Mitarbeiterschulungen.

Rolle der Gesundheitsdienstleister

Ärztinnen, Ärzte, Apothekerinnen, Apotheker und Klinikteams sind für das operative Einpflegen von Befunden, das Management von Zugriffsrechten und die Einhaltung von Datenschutzvorgaben verantwortlich: sie müssen Software-Updates installieren, Mitarbeitende schulen und technische Prüfungen durchführen, damit die ePA zuverlässig in den Behandlungsalltag integriert wird.

Praxis-IT-Anbieter und Medizinische Einrichtungen koordinieren dabei mit Datenschutzbeauftragten die technischen Maßnahmen; nach dem Sicherheitscheck des Fraunhofer‑Instituts und den im Dezember 2024 vom Chaos Computer Club entdeckten Lücken wurden von gematik und BSI Patches verteilt, die sie zeitnah einspielen müssen. Protokollierung, Rollen- und Rechteverwaltung sowie das Handling von Einwilligungen und Widersprüchen (z. B. 90‑Tage‑Zugriff nach Karteneinlesung) sind Teil der Routine; viele Praxen setzen Checklisten, regelmäßige Sicherheitsupdates und mindestens einen ePA‑Verantwortlichen zur Qualitätssicherung ein.

Wer erhält eine ePA?

Anspruchsberechtigte Personen

Alle gesetzlich krankenversicherten Personen erhalten von ihrer Krankenkasse automatisch eine ePA, sofern sie keinen Widerspruch eingelegt haben. Privatversicherte können die ePA nutzen, wenn ihre Versicherung dies anbietet; eine Verpflichtung besteht nicht. Er, sie oder sie müssen die ePA nicht aktiv anfordern; die Krankenkasse stellt sie bereit. Wer widerspricht, erhält keine ePA — die medizinische Versorgung darf dadurch nicht beeinträchtigt werden.

Regelungen für Kinder und Jugendliche

Bis zum vollendeten 15. Lebensjahr entscheiden sorgeberechtigte Eltern über Anlage und Verwaltung der ePA ihres Kindes und haben Zugriff auf die gespeicherten Dokumente; ab diesem Alter übt die betroffene Person zunehmend Selbstbestimmung aus. Elterlicher Zugriff kann sensible Gesundheitsdaten umfassen, weshalb Zugriffsrechte bewusst vergeben oder eingeschränkt werden sollten.

Konkreter regeln Krankenkassen und die ePA-App die Freigabe: Eltern können über die App oder die Ombudsstelle Dokumente hochladen, Zugriffsrechte vergeben oder einschränken; mit dem Einlesen der Gesundheitskarte erhalten Behandelnde in der Regel bis zu 90 Tage Zugriff. Die Möglichkeit, ältere Dokumente digitalisieren zu lassen (bis zu 10 Dokumente zweimal innerhalb von 24 Monaten), gilt auch für Kinderakten und sollte bei sensiblen Befunden sorgfältig abgewogen werden.

Sicherheit der ePA

Sicherheitsstandards und -maßnahmen

BSI-Vorgaben und Gematik-Richtlinien setzen die Basis: Ende-zu-Ende-Verschlüsselung, TLS-Verbindungen, rollenbasierte Zugriffssteuerung und verpflichtende Audit-Logs. Ein Fraunhofer-Team bewertete das Konzept im Oktober 2024 als angemessen. Authentifizierung erfolgt per NFC-Gesundheitskarte mit PIN oder GesundheitsID; Ärzte erhalten temporären Zugriff von bis zu 90 Tagen nach Karteneinlesung. Ergänzend sorgen regelmäßige Sicherheitsupdates und die Telematikinfrastruktur für zusätzliche Härtung.

Mögliche Risiken und Schwachstellen

Der Chaos Computer Club wies im Dezember 2024 auf Lücken hin, die Angreifern mittels gefälschter Praxisausweise oder gefälschter Gesundheitskarten Zugang ermöglichten; Gematik und BSI haben nachgebessert. Weitere Risiken betreffen Social Engineering, unzureichend gepatchte Praxissoftware und Insider, die durch Berechtigungsfehler sensible Daten einsehen könnten. Solche Schwachstellen erhöhen das Risiko von Missbrauch und Datenexfiltration.

Konkrete Angriffsszenarien reichen von PIN-Diebstahl und geklonten eGK bis zu manipulierten Praxis-Clients; in einem Szenario könnte ein Angreifer über kompromittierte Zugangsdaten längere Einsicht in Behandlungsverläufe gewinnen, was zu Datendiebstahl, Diskriminierung oder Versicherungsbetrug führen kann. Präventiv wirken strikte Zugriffsbeschränkungen, sofortige Sperrmechanismen, regelmäßige Audits, verpflichtende Software-Updates und Schulungen der Mitarbeitenden.

Nutzung der ePA

Zugriff über mobile Geräte

Jede gesetzliche Krankenkasse stellt eine eigene ePA‑App bereit, die Nutzer in den App‑Stores von Apple, Google und Huawei herunterladen. Zur Freischaltung benötigen er, sie oder sie in der Regel die NFC‑fähige Gesundheitskarte und die zugehörige PIN oder alternativ die GesundheitsID; die genauen Schritte variieren je nach Kasse. Über die App können Dokumente eingesehen, hochgeladen und Zugriffsrechte gezielt vergeben werden, wodurch behandelnde Ärztinnen und Ärzte im Notfall schneller relevante Informationen abrufen können.

Nutzung durch nicht-digitale Nutzer

Versicherte ohne geeignetes Endgerät nutzen die ePA überwiegend passiv: Ärztinnen, Ärzte und Krankenhäuser füllen die Akte, während er, sie oder sie selbst keine Dokumente einsehen oder verwalten können. Widersprüche und Änderungen müssen über die geplanten Ombudsstellen der Krankenkassen erklärt werden; alternativ lässt sich eine Vertrauensperson benennen, die Zugriff gewährt oder entzieht, jedoch die ePA nicht löschen kann.

Die Krankenkassen sollen Ombudsstellen einrichten, die besonders ältere oder technisch nicht ausgestattete Versicherte unterstützen; ab 2025 kann er, sie oder sie die Kasse zudem zweimal innerhalb von 24 Monaten bitten, bis zu 10 ältere medizinische Dokumente digitalisieren zu lassen. Praktische Beispiele zeigen, dass viele Seniorinnen und Senioren auf Angehörige als Vertretung angewiesen sind, während Praxen durch das Einlesen der Gesundheitskarte für 90 Tage temporären Behandlungszugriff erhalten.

Vorteile der elektronischen Patientenakte

Verbesserte Datenorganisation

Er oder sie findet Befunde, Impfungen, Medikationspläne und Arztbriefe zentral abgelegt statt in verstreuten Papierakten; das verringert Doppeluntersuchungen und beschleunigt Behandlungsentscheidungen. Die ePA arbeitet mit standardisierten Formaten, wodurch Kliniken und Praxen Daten strukturierter austauschen können. Patient:innen können zudem bis zu 10 ältere Dokumente zweimal innerhalb von 24 Monaten von der Krankenkasse digitalisieren lassen, was fehlende Historie ergänzt.

Erleichterter Zugriff auf Gesundheitsinformationen

Ärztinnen, Ärzte und andere Leistungserbringer erhalten nach dem Einlesen der Gesundheitskarte in der Praxis für 90 Tage Zugriff, sodass er oder sie bei Folgeterminen schneller informiert ist; autorisierte Zugänge lassen sich über die ePA‑App gezielt gewähren oder entziehen. Die bald verfügbare Web‑Anwendung (voraussichtlich Mitte Juli 2025) ergänzt Smartphone‑Zugriff und erhöht die Verfügbarkeit von Gesundheitsdaten im Behandlungsalltag.

Weiterführend ermöglicht die ePA detaillierte Rechteverwaltung: Er oder sie kann einzelne Dokumente verbergen, bestimmte Leistungserbringer ausschließen oder eine Vertrauensperson benennen, die im Bedarfsfall Zugriffsrechte übernimmt. Für Versicherte ohne eigenes Endgerät greifen Ombudsstellen der Krankenkassen, und automatische Einträge durch Praxen sichern, dass wichtige Daten auch dann in der Akte vorhanden sind, wenn sie selbst keine aktive Verwaltung vornehmen.

Nachteile und Herausforderungen der ePA

Datenschutzbedenken

Der Chaos Computer Club wies im Dezember 2024 auf Lücken hin, durch die Angreifer mit gefälschten Praxisausweisen oder gefälschten Gesundheitskarten hätten zugreifen können; die Gematik und das BSI haben nachgebessert, doch kein System ist völlig sicher. Viele Patient:innen fürchten, dass he, she oder they durch Datenmissbrauch, Diskriminierung oder Vertrauensverlust im Gesundheitssystem betroffen sein könnten; Missbrauch sensibler Gesundheitsdaten bleibt das größte Risiko.

Technische Schwierigkeiten und Akzeptanzprobleme

Weite Teile der Versorgung warten noch auf Software-Updates; die verpflichtende Nutzung ab Oktober verlangt, dass Praxen Technik anpassen und Personal schulen. Die ePA-App-Fragmentierung nach Krankenkassen, die NFC-Pflicht für die Gesundheitskarte und die PIN-Anforderungen sorgen für Hürden, besonders für ältere Patient:innen ohne Smartphone — he, she und they können dann meist nur passiv von der ePA profitieren.

Tiefere Probleme liegen in der Interoperabilität zwischen Praxissoftware und ePA-Standards, unterschiedlichen ePA-Apps mit inkonsistenter Benutzerführung und fehlenden Breitbandanschlüssen in ländlichen Regionen; das erschwert schnelle, fehlerfreie Implementierungen und erhöht das Risiko von Fehleinstellungen, die Sicherheitslücken eröffnen können. Fraunhofer bestätigte das Sicherheitskonzept im Oktober 2024, doch die CCC-Entdeckung im Dezember 2024 zeigte, wie technische und organisatorische Mängel zusammenspielen. Die geplante Web-Anwendung ab Mitte Juli 2025 sowie verpflichtende Updates bis Oktober erhöhen den Druck auf IT-Infrastruktur, Schulungsbudgets und Supportstrukturen in Praxen und Kliniken, was die Akzeptanz bei he, she und they zusätzlich hemmt.